Apache Kafka ACLs - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apache Kafka ACLs

Apache Kafka memiliki otorisasi yang dapat dicolokkan dan dikirimkan dengan implementasi otorisasi. out-of-box Amazon MSK memungkinkan otorisasi ini dalam server.properties file di broker.

Apache Kafka ACLs memiliki format “Principal P adalah [Diizinkan/Ditolak] Operasi O Dari Host H pada Resource R apa pun yang cocok dengan RP”. ResourcePattern Jika RP tidak cocok dengan R sumber daya tertentu, maka R tidak terkaitACLs, dan oleh karena itu tidak ada orang lain selain pengguna super yang diizinkan mengakses R. Untuk mengubah perilaku Apache Kafka ini, Anda mengatur properti allow.everyone.if.no.acl.found ke true. Amazon MSK menyetelnya ke true secara default. Ini berarti bahwa dengan MSK klaster Amazon, jika Anda tidak secara eksplisit mengatur ACLs sumber daya, semua prinsipal dapat mengakses sumber daya ini. Jika Anda ACLs mengaktifkan sumber daya, hanya kepala sekolah yang berwenang yang dapat mengaksesnya. Jika Anda ingin membatasi akses ke topik dan mengotorisasi klien menggunakan otentikasi TLS timbal balik, tambahkan ACLs menggunakan otorisasi Apache Kafka. CLI Untuk informasi selengkapnya tentang menambahkan, menghapus, dan mencantumkanACLs, lihat Antarmuka Baris Perintah Otorisasi Kafka.

Selain klien, Anda juga perlu memberikan semua broker Anda akses ke topik Anda sehingga broker dapat mereplikasi pesan dari partisi utama. Jika broker tidak memiliki akses ke suatu topik, replikasi untuk topik tersebut gagal.

Untuk menambah atau menghapus akses baca dan tulis ke topik

  1. Tambahkan broker Anda ke ACL meja untuk memungkinkan mereka membaca dari semua topik ACLs yang ada. Untuk memberi broker Anda membaca akses ke topik, jalankan perintah berikut pada mesin klien yang dapat berkomunikasi dengan MSK cluster.

    Ganti Distinguished-Name dengan DNS salah satu broker bootstrap cluster Anda, lalu ganti string sebelum periode pertama dalam nama yang dibedakan ini dengan tanda bintang (*). Misalnya, jika salah satu broker bootstrap cluster Anda memiliki DNSb-6.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com, ganti Distinguished-Name dalam perintah berikut dengan*.mytestcluster.67281x.c4.kafka.us-east-1.amazonaws.com. Untuk informasi tentang cara mendapatkan broker bootstrap, lihatDapatkan broker bootstrap untuk MSK cluster Amazon.

    <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Read --group=* --topic Topic-Name

  2. Untuk memberikan akses baca ke topik, jalankan perintah berikut di mesin klien Anda. Jika Anda menggunakan TLS otentikasi timbal balik, gunakan yang sama Distinguished-Name Anda gunakan saat Anda membuat kunci pribadi.

    <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Read --group=* --topic Topic-Name

    Untuk menghapus akses baca, Anda dapat menjalankan perintah yang sama, menggantinya --add dengan--remove.

  3. Untuk memberikan akses tulis ke topik, jalankan perintah berikut di mesin klien Anda. Jika Anda menggunakan TLS otentikasi timbal balik, gunakan yang sama Distinguished-Name Anda gunakan saat Anda membuat kunci pribadi.

    <path-to-your-kafka-installation>/bin/kafka-acls.sh --authorizer-properties --bootstrap-server BootstrapServerString --add --allow-principal "User:CN=Distinguished-Name" --operation Write --topic Topic-Name

    Untuk menghapus akses tulis, Anda dapat menjalankan perintah yang sama, menggantinya --add dengan--remove.